FBI 清除数百个组织的 ProxyLogon WebShell
在一次网络swat行动中,联邦政府在没有事先通知企业的情况下远程清除了感染。
联邦政府已经清除了美国数百台易受攻击电脑的恶意Web Shell,这些Shell已通过现在臭名昭著的ProxyLogon Microsoft Exchange漏洞进行了入侵。
ProxyLogon包含一组安全漏洞,这些漏洞会影响用于电子邮件的Microsoft Exchange Server软件的本地版本。微软上个月警告说,the高级持续威胁(APT)正在积极利用这些漏洞。此后,其他研究人员说,还有10个或更多的APT也正在使用它们。
ProxyLogon包含四个漏洞(CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065),可以将它们链接在一起以创建预认证远程代码执行(RCE)利用-含义攻击者可以在不知道任何有效帐户凭据的情况下接管服务器。这使他们能够访问电子邮件通信,并有机会安装Web Shell以在环境中进一步利用,例如部署勒索软件。
虽然补丁程序级别已加快,但这对已经受到威胁的计算机没有帮助。
司法部在周二的公告中解释说:“许多受感染的系统所有者成功地从数千台计算机上删除了Web shell 。” “其他人似乎无法做到这一点,而且数百个这样的Web外壳仍然坚如磐石。”
这种情况促使联邦调查局采取了行动。在法院授权的行动中,它通过Web Shell向受影响的服务器发出了一系列命令。这些命令旨在使服务器仅删除Web Shell(由其唯一的文件路径标识)。它没有提前通知受影响的组织,但有关部门表示,他们现在正在发出通知。
美国司法部国家安全司助理检察长约翰·德默斯说:“今天,法院授权删除恶意Web外壳表明,国防部致力于使用我们所有的法律工具,不仅是起诉,来破坏黑客活动。”
联邦调查局对ProxyLogon攻击采取单方面行动
JupiterOne的创始人兼首席执行官郑永康(Erkang Zheng)指出,此举的其他技术细节尚未公开。
他在电子邮件中说:“真正令我们感兴趣的是法院下令对易受攻击的系统进行远程修复。” “这是第一次发生,并且以此为先例,这可能不会是最后一次。如今,许多企业都不知道其基础结构和安全状态是什么样子–可见性对于CISO来说是一个巨大的问题。”
New Net Technologies全球安全研究副总裁Dirk Schrader指出,FBI缺乏透明度可能会带来问题。
他告诉Threatpost:“其中存在一些关键问题。” “一个是联邦调查局说,行动是因为这些受害者缺乏清除自己的基础设施的技术能力,另一个是,联邦调查局打算将对搬迁本身的了解至少延迟一个月,以正在进行的调查为由。原因。”
他解释说:“这可能会引起其他问题,因为受害者没有机会调查访问了哪些信息,这种安装方法是否带来了额外的后门安装以及一系列其他问题。”
Horizon3.AI的客户和合作伙伴成功总监Monti Knode指出,此举说明了漏洞的危险性。
他在电子邮件中说:“政府的行动总是以采取行动的权威为基础。” “通过专门喊出“受保护的计算机”并宣布它们“已损坏”,这似乎足以使联邦调查局获得签署的执行该操作令的权利,而无需在执行操作之前通知受害者。尽管行动规模未知(根据法院命令进行了删节),但联邦调查局能够在不到四天的时间内执行,然后公开释放这一努力,这一事实证明了这些被利用的系统和安全隐患造成了潜在的国家安全风险。优先考虑的计划。这不是下意识的反应。”
FBI报告说,此操作成功复制并删除了Web外壳。但是,如果组织尚未进行修补,则仍然需要进行修补。
Denmers说:“结合迄今为止私人部门和其他政府机构的努力,包括发布检测工具和补丁程序,我们共同展示了公私合作为我国网络安全带来的力量。” “毫无疑问,还有更多工作要做,但毫无疑问,新闻部致力于在这种努力中发挥其不可或缺的必要作用。”
新的Exchange RCE漏洞和联邦警告
该消息是在4月补丁程序星期二发布之前发布的,在该补丁程序中,Microsoft显示了Exchange中的更多RCE漏洞(CVE-2021-28480至CVE-2021-28483),这些漏洞已由国家安全局发现并报告。一个任务是联邦机构在周五前修补他们也走了出去。
Immersive Labs网络威胁研究总监Kevin Breen警告说,将这些武器武器化的速度可能会比平时更快,因为有动机的攻击者将能够使用现有的概念代码。
他通过电子邮件补充说:“这凸显了当今网络安全对整个国家的重要性,以及民族国家,情报服务和企业安全之间界限的不断模糊。” “近来,由于一系列高影响力的攻击影响了使用良好的企业软件,因此,美国国家安全局显然渴望加强并发挥积极的作用。”
